OD UTJERIVAČA dugova, ovog puta tvrtke EOS Matrix, procurilo je više od 181 tisuće osobnih podataka, a među njima su i podaci par stotina maloljetnih osoba, doznaju Index Istrage. Drugo je to veliko curenje podataka nakon što je u prosincu prošle godine otvorena istraga zbog curenja 77 tisuća osobnih podataka iz tvrtke B2 Kapital, još jednog utjerivača dugova, odnosno agencije za naplatu potraživanja.
>> Lucijan Carić: Ovo je najveći sigurnosni incident u povijesti Hrvatske
>> B2 Kapital o otkriću Index Istraga: Utvrđujemo o kojim se klijentima i podacima radi
Kao i u slučaju B2 Kapitala, Agencija za zaštitu osobnih podataka (AZOP) potvrdila je Indexu kako je započela nadzorno postupanje. U anonimnoj prijavi, koja je stigla na adresu AZOP-a i koja je u posjedu Indexa, navodi se kako postoji osnovana sumnja kako više agencija za naplatu potraživanja, koje djeluju na području Hrvatske, razmjenjuje baze podataka, što ne bi smjele raditi, te tako dolazi do curenja tih podataka van.
U bazi podataka podaci o 294 maloljetne osobe
Vani su se tako našla 181.641 zapisa koja sadrže ime i prezime, OIB, datum rođenja, a osim dužnika tu su i sudužnici, jamci i založni dužnici. Osim činjenice da je riječ o najvećem curenju osobnih podataka do sada, sporno je što baza podataka EOS Matrixa sadrži i osobne podatke 294 maloljetne osobe te je razvidno kako su ovi utjerivači dugova skupljali osobne podatke o maloljetnicima.
Iz tvrtke EOS Matrix priznaju kako njihova baza podataka zaista sadrži podatke o maloljetnicima, no da to rade temeljem pravomoćnih sudskih rješenja o nasljeđivanju, odnosno za osobe za koje je utvrđeno da su nasljednici osoba koje su dužnici.
No, istražujući tvrtku EOS Matrix, pronašli smo u njihovim financijskim izvještajima da ta tvrtka kod procjene budućih novčanih tokova koristi model koji uzima u obzir kriterije ugovaranja (dani kašnjenja, povijest plaćanja, aktivnosti plaćanja, mogućnost aktivacije instrumenata plaćanja), svojstva dužnika (dob, spol, status zaposlenja, nasljednici i slično) i njihove međusobne odnose.
Skupljaju podatke o nasljednicima i članovima obitelji
“Nasljednici” zapravo obuhvaćaju potencijalne nasljednike, odnosno djecu dužnika, a “međusobni odnosi” zapravo znače skupljanje podataka o obitelji dužnika, odnosno o potencijalnim budućim dužnicima. EOS Matrix ne negira da postoji ovaj model, no tvrdi da taj model “predstavlja intelektualno vlasništvo i kao takav ne iznosi se javnosti”.
Iz AZOP-a nam o obradi osobnih podataka djece od strane agencije za naplatu potraživanja kažu da s aspekta zaštite osobnih podataka nije razvidno po kojoj pravnoj osnovi bi voditelj obrade prikupljao osobne podatke djece ako ona nisu pravno vezana uz dugovanje.
Stručnjak za GDPR: Ozbiljni propusti
Duje Prkut, stručnjak za GDPR i izvršni direktor udruge Politiscope, govoreći o ovom modelu, kaže za Index da je EOS Matrix morao direktno kontaktirati i obavijestiti sve nasljednike dugom opterećene imovine čije su osobne podatke prikupljali i obrađivali.
“Radi se o prekomjernoj obradi jer za naplatu potraživanja nisu potrebni podaci o nasljedniku ako je klijent živ. Sve navedeno su ozbiljni propusti u implementaciji GDPR pravila”, zaključuje Prkut.
Baza podataka EOS Matrixa sadrži 116 podataka mlađih maloljetnika, dok je 178 starijih maloljetnika. Te osobe nisu ni mogle samostalno stupati u ugovorne odnose s trećim osobama, odnosno kreditnim institucijama, telekomima i ostalima, te postati dužnici pa se postavlja pitanje ne samo o opravdanosti skupljanja tih podataka nego i o legitimnosti.
Pravobraniteljica za djecu: Agencije beskrupulozno uznemiravaju djecu
Iz ureda pravobraniteljice za djecu kažu nam kako su prije dvije godine postupali potaknuti općenitom prijavom i objavama u medijima o neprimjerenoj i nepoželjnoj praksi subjekata koji se bave otkupom dugovanja i naplatom potraživanja te, pri tome, beskrupulozno uznemiravaju dužnike i članove njihovih obitelji, pa tako i djecu.
“Tada smo Ministarstvu financija uputili preporuku da se angažira radi reguliranja ovog područja, radi zaštite dostojanstva i prava djece čiji su roditelji ili drugi članovi obitelji dužnici”, stoji u dijelu odgovora koji potpisuje pravobraniteljica za djecu Helenca Pirnat Dragičević. No, krenimo redom.
Agencije otkupljuju dugove loših kredita od banaka i teleoperatera i potom ih same naplaćuju
Sredinom prosinca prošle godine otkrili smo kako su iz Agencije za naplatu potraživanja B2 Kapital u javnost procurili osobni podaci o 77.317 fizičkih osoba. Riječ je bila o do tada najvećem curenju osobnih podataka u Hrvatskoj. Naime, iz te tvrtke izašli su podaci koji sadrže ime i prezime, OIB, datum rođenja, adresu stanovanja, naziv i OIB poslodavca, broj telefona/mobitela, e-mail, dugovanje prema B2 Kapitalu, iznos glavnice te iznos zateznih kamata.
AZOP je odmah otvorio istragu, no do danas nije poznat odgovor na pitanje je li ta agencija smjela obrađivati podatke na ovakav način, odnosno da se uz iznos duga nalaze i podaci o osobnom e-mailu i broju mobitela. Do sada nije poznato ni kako je B2 Kapital došao do tih podataka.
Naglasimo kako agencije za naplatu potraživanja otkupljuju dugove loših kredita od banaka i teleoperatera i potom ih same naplaćuju. Oni kojima je dug prodan, žale se na postupanje tih agencija, no nitko im ne može pomoći jer su agencije osnovane kao trgovačka društva, a ne kao kreditne institucije. B2 Kapital, kao i EOS Matrix, većinom otkupljuje loše kredite od banaka.
Najveće curenje podataka
Ministar financija Marko Primorac, govoreći o do tada najvećem curenju podataka, rekao je kako mu nije poznato da postoje problemi s utjerivačima dugova. Sada, tri mjeseca kasnije, ponovno je došlo do curenja podataka, i to puno većeg nego u prosincu.
Ovog puta iz tvrtke EOS Matrix procurio je 181.641 podatak o fizičkoj osobi, što je najveće curenje podataka do sada. Odgovarajući na upit Indexa početkom ovog tjedna, iz te tvrtke su nam rekli kako oni za sada nemaju informacije o tome da su podaci koje obrađuju procurili, no da su nakon upita Indexa obavijestili AZOP.
“EOS Matrix osobne podatke čuva primjenjujući adekvatne organizacijske i tehničke mjere zaštite osobnih podataka, sve u skladu s pozitivnim propisima Opće uredbe o zaštiti podataka. Naglašavamo i kako je EOS Matrix d.o.o. certificiran za ISO 27001, vodeći svjetski standard za informacijsku sigurnost. Ovakav sustav upravljanja osobnim podacima obuhvaća sve procese koji su u funkciji upravljanja potraživanjima te s tim povezanih rješenja”, ističu iz te tvrtke.
EOS Matrix: Podatke maloljetnika obrađujemo samo kada su osobe utvrđene kao nasljednici dužnika
No, ono što je posebno otegotno za EOS Matrix je činjenica da oni obrađuju podatke maloljetnih osoba. Maloljetnici ne mogu stupiti u ugovorne odnose s bankama, telekomima i drugim financijskim institucijama pa se postavlja pitanje kako je moguće da utjerivači dugova skupljaju podatke o njima.
“U iznimnim i ograničenim slučajevima, kada su maloljetne osobe pravomoćnim sudskim rješenjem o nasljeđivanju utvrđene kao nasljednici osoba koje su dužnici, Društvo obrađuje njihove osobne podatke u skladu sa Zakonom o nasljeđivanju, Zakonom o obveznim odnosima, Ovršnim zakonom te Zakonom o parničnom postupku. Pritom se obrada osobnih podataka poduzima sukladno Općoj uredbi o zaštiti podataka (GDPR)”, kažu nam iz EOS Matrixa.
Kako dodaju, u tim predmetima postupa se s osobitom pažnjom, u skladu s pozitivnim propisima i na temelju valjanih osnova, a komunikacija se provodi preko zakonskog zastupnika maloljetne osobe.
Model koji predviđa potencijalne buduće dužnike
No, u financijskim izvještajima tvrtke EOS Matrix doslovno stoji: “Kod procjene budućih novčanih tokova Društvo koristi model koji uzima u obzir kriterije ugovaranja (dani kašnjenja, povijest plaćanja, aktivnosti plaćanja, mogućnost aktivacije instrumenata plaćanja), svojstva dužnika (dob, spol, status zaposlenja, nasljednici i slično) i njihove međusobne odnose.”
Upitali smo EOS Matrix uključuje li taj model, posebno u dijelu “nasljednici” i “međusobni odnosi”, zapravo maloljetne osobe. Nisu negirali te kažu da je to njihovo intelektualno vlasništvo.
“U svakom trenutku s osobnim podatcima fizičkih osoba, postupamo u skladu s pozitivnim propisima i na temelju valjanih osnova, sukladno Zakonu o obaveznim odnosima i Općoj uredbi o zaštiti podataka (GDPR). Model prilikom procjene budućih novčanih tokova kod osiguranih potraživanja predstavlja intelektualno vlasništvo i kao takav ne iznosi se javnosti”, stoji u odgovoru EOS Matrixa.
HUAN: Obrada maloljetnih osoba je rijetka i specifična
Zanimljivo, osoba koja je odgovarala u ime tvrtke EOS Matrix odgovarala je i na upite koje smo poslali Hrvatskoj udruzi za naplatu potraživanja (HUAN).
Njih smo pitali je li im poznato da agencije za naplatu potraživanja skupljaju i obrađuju podatke maloljetnih osoba.
“Podaci o maloljetnim osobama prikupljaju se i obrađuju isključivo u iznimnim slučajevima, kada su temeljem rješenja o nasljeđivanju maloljetnici ujedno i nasljednici. Naravno, pri komunikaciji u takvim situacijama poštuju se sve zakonske norme koje se odnose na pravnu sposobnosti i zastupanje. U svim drugim slučajevima podaci maloljetnih osoba se ne obrađuju u procesu naplate”, kažu iz HUAN-a u odgovoru koji dakle potpisuje njihova tajnica koja je i u isto vrijeme i djelatnica EOS Matrixa.
Na zaključak da maloljetne osobe ne mogu biti izvorna ugovorna strana u ugovorima s trećim osobama niti bi se njihovi podaci trebali naći u ugovorima koji su bili predmet kupoprodaje potraživanja (cesije) potrošačkih ugovora, HUAN smatra da agencije za naplatu potraživanja obrađuju podatke maloljetnih osoba “iznimno i pojedinačno u specifičnim i rijetkim situacijama”.
AZOP: Ako djeca nisu pravno vezana uz dugovanje, nema pravne osnove za prikupljanje podataka
Iz AZOP-a, odgovarajući na pitanje vezano za skupljanje podataka o maloljetnim osobama, djeci, ističu kako sukladno uvodnoj izjavi Opće uredbe o zaštiti podataka, djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući da mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka.
“U situacijama naknadnog prikupljanja i obrađivanja osobnih podataka djece od strane agencija za naplatu potraživanja isto bi bilo moguće u iznimnim situacijama, a isključivo pod uvjetom postojanja zakonite svrhe i valjanog pravnog temelja iz članaka 5. i 6. Opće uredbe o zaštiti podataka, a što je voditelj obrade dužan dokazati”, kažu nam iz AZOP-a.
Kako pojašnjavaju u, primjerice, situacijama kada nasljednik odgovara za dug ostavitelja, pri čemu se ostavitelj već prethodno nalazio u dužničko-vjerovničkom odnosu s agencijom za naplatu potraživanja, moglo bi doći do situacije u kojoj maloljetna djeca kao nasljednici odgovaraju i za dug ostavitelja do visine naslijeđene imovine, a sukladno mjerodavnim propisima o nasljeđivanju.
“Ujedno ističemo kako voditelj obrade sukladno načelu smanjenja podataka mora voditi brigu o opsegu osobnih podataka te obrađivati samo osobne podatke koji su nužni u odnosu na svrhe u koje se obrađuju”, stoji u odgovoru AZOP-a gdje ističu da, ako djeca nisu pravno vezana uz dugovanje, s aspekta zaštite osobnih podataka nije razvidno po kojoj pravnoj osnovi bi voditelj obrade prikupljao njihove osobne podatke.
Manji broj djece ima vrjedniju imovinu
Iz ureda dječjeg pravobranitelja u razgovoru za Index tvrde kako godišnje zaprime relativno mal broj pritužbi vezanih za naplatu duga.
“To tumačimo pretpostavkom da manji broj djece ima vrjedniju imovinu, ali i mogućnošću da povrede imovinskih prava djece roditelji rjeđe prijavljuju jer njihovi interesi mogu biti u koliziji. Važno je naglasiti da djeca, unatoč tome što su maloljetna, mogu biti dužnici, pa samim time i ovršenici u postupcima prisilne naplate”, ističe u pisanom odgovoru pravobraniteljica za djecu Helenca Pirnat Dragičević.
Naime, kako dodaje, odgovornost je svih odraslih, a posebice zakonskih zastupnika djece, da ulože maksimalan angažman za zaštitu imovinskih prava i dobrobiti djece prilikom njihovog zastupanja i postupanja u njihovo ime i za njihov račun, kao i za zaštitu prava djece na privatnost.
Pravobraniteljica: Regulacija agencije nužna radi zaštite dostojanstva i prava djece
Iz ureda kažu kako u protekloj godini nisu imali pritužbi vezanih uz uključenost agencija za naplatu potraživanja pa nemaju neposrednih saznanja o mogućim povredama prava djece vezano uz njihovo poslovanje.
“Međutim, postupali smo u 2021. godini potaknuti općenitom prijavom i objavama u medijima o neprimjerenoj i nepoželjnoj praksi subjekata koji se bave otkupom dugovanja i naplatom potraživanja te, pri tome, beskrupulozno uznemiravaju dužnike i članove njihovih obitelji, pa tako i djecu. Tada smo Ministarstvu financija uputili preporuku da se angažiraju radi reguliranja ovog područja radi zaštite dostojanstva i prava djece čiji su roditelji ili drugi članovi obitelji dužnici”, stoji u odgovoru pravobraniteljice za djecu. Podsjetimo, Ministarstvo financija, koje danas vodi ministar Primorac, proglasilo se nenadležnim za rad agencija.
Stručnjak za GDPR: Obrada tek nakon smrti dužnika i samo u svrhu naplate
No, postavlja se pitanje smiju li utjerivači dugova naknadno skupljati i obrađivati podatke maloljetnih osoba, potencijalnih dužnika. Duje Prkut, stručnjak za GDPR, smatra kako je teško na ovo pitanje jednoznačno odgovoriti s da ili ne.
“Načelno gledano, za bilo koji osobni podatak, koliko god bio osjetljiv, možemo smisliti stvarnu i pravnu situaciju u kojoj je obrada takvog podatka i zakonita i legitimna. U tom smislu, postoji pravna osnova da agencije, u slučaju smrti dužnika, obrađuju osobne podatke njegovih nasljednika. Neki od tih nasljednika bi mogli biti i maloljetnici”, smatra Prkut, dodajući da bi bila legitimna obrada osobnih podataka maloljetnika ako se radi o nasljednicima imovine, i to tek nakon smrti dužnika i samo u svrhu naplate potraživanja.
“Dakle, jasno je propisano što je dopušteno. No ono što radi ova agencija izlazi izvan tih okvira i predstavlja grubo kršenje odredbi GDPR-a, koje zaslužuje financijsko kažnjavanje. I nije problematično samo prikupljanje osobnih podataka maloljetnika, već je problematična takva obrada svih podataka”, ističe Prkut.
Jasno je da se radi o nezakonitoj obradi podataka
Model EOS Matrixa u kojem se obrađuju podaci potencijalnih nasljednika i međusobni odnosi, odnosno obiteljske veze, Prkut smatra izuzetno problematičnim.
“Tvrtka razvija model predikcije vjerojatnosti otplate dugovanja na temelju podataka koji su prikupljeni i obrađeni u izričitu svrhu naplate potraživanja. Opisano izvještajem predstavlja zasebnu svrhu obrade podataka te se ista može smatrati legitimnom i zakonitom samo ako postoji i zasebna pravna osnova za obradu. Smjernice EDPB-a jasno propisuju da se za ovakve i slične obrade kao pravna osnova treba uzeti privola ispitanika, a ne legitimni interes”, smatra Prkut.
Prkut kaže kako se može pretpostaviti da propisane privole agencija nema jer ta obrada uopće nije ni obuhvaćena politikom privatnosti tvrtke. Isto tako, sukladno GDPR-u, u slučaju automatiziranog donošenja odluke koja uključuje profiliranje, ispitanik ima pravo prigovora na takvu obradu i tražiti da fizička osoba bude ta koja donosi odluku.
“Ako se uistinu radi o automatiziranom odlučivanju koje uključuje profiliranje, način implementacije ovog modela ove agencije za naplatu dugovanja predstavlja grube povrede temeljenih odredbi GDPR-a. U ovome trenutku nije posve jasno kakav je to alat razvila ova agencija za naplatu potraživanja, jasno je samo da radi nezakonite obrade podataka”, zaključuje Prkut.
*** Istraživačko novinarstvo je najskuplje i potpuno financijski neisplativo novinarstvo. Ako vam je stalo do borbe za transparentnost, podržite Index Istrage donacijom. Sav novac prikupljen kroz Index Istrage bit će utrošen jedino i isključivo na najbolje istraživačke novinare i 100% neovisno, odvažno istraživačko novinarstvo.
Opširnije: https://www.istrage.hr/doniraj
Originalno objavljeno na Index Istrage